Часті запитання (FAQ)


1.      Що таке «Security-Token»?

«Security-Token» – це спеціальний компактний пристрій у вигляді USB-брелока, який служить для авторизації користувача, захисту електронного листування, накладання на документ електронного цифрового підпису, а також надійного зберігання персональних даних (секретний ключ користувача); також називається носій ключової інформації (НКІ). Містить вбудований мікропроцесор для виконання криптографічних перетворень інформації, захищену область пам’яті для збереження персонального секретного ключа користувача.

 

2. Для чого використовується електронний цифровий підпис?

Метою застосування систем цифрового підпису є ідентифікація особи, що підписала електронний документ. Електронний цифровий підпис являється заміною (аналогом) особистого підпису.

Система електронного цифрового підпису припускає, що кожен користувач мережі має свій таємний ключ, який використовується для формування підпису, а також відповідний таємному ключу відкритий ключ, відомий решті користувачів мережі й призначений для перевірки підпису. Електронний цифровий підпис обчислюється на основі таємного ключа відправника інформації й власне інформаційних бітів документу (файлу).

Використання електронного цифрового підпису дозволяє контролювати цілісність підписаного документу – у випадку модифікації електронного документу електронний цифровий підпис втрачає дійсність так як відповідає тільки тому змісту документа, на який накладався електронний підпис.

Автор підписаного документу не може відмовитися від власного електронного цифрового підпису – підпис накладається з використанням закритого (секретного ключа) автора документу, який відомий і зберігається лише у нього. З іншого боку автор документу може легко підтвердити власний підпис.

Перевірити підпис може будь-який користувач, що має відкритий ключ, в тому числі незалежний арбітр, якого уповноважено вирішувати можливі суперечки про авторство повідомлення (документу).

 

3. Що таке "сертифікат відкритого ключа"? Для чого він призначений?

Сертифікат відкритого ключа – це електронний документ, який поєднує дані для перевірки електронних підписів (відкритий ключ) з даними про юридичну/фізичну особу, підтверджує її ідентичність і завіряється електронним цифровим підписом надавача послуг – центром сертифікації ключів.

 

4. Порядок отримання сертифікату відкритого ключа. Перегенерація сертифікату. Повернення носія ключової інформації.

Для отримання нового сертифікату необхідно надати повний комплект документів згідно переліку документів, що знаходиться у розділі «Порядок одержання ключа». Для перегенерації сертифікату відкритого ключа/(повернення носія ключової інформації) необхідно надати повний пакет документів відповідно до мети оновлення/(повернення), перелік яких знаходиться у розділі «Оновлення сертифікатів» даного сайту.

 

5. ПЗ для формування та перегляду електронних документів у системі електронного документообігу.

Формування електронних документів відбувається з використанням програмно-технічного комплексу BIT eTrade Mail, до якого входять: Security-Token, ПЗ BIT eTrade Mail. Для перегляду електронного документу після повернення НКІ використовується ПЗ BIT eDocument Master.

 

6. Чому необхідно використовувати саме сертифіковані засоби ЕЦП? Чи не можна використовувати безкоштовні несертифіковані засоби?

Простий аналіз інформаційних ризиків, які виникають при використанні несертифікованих засобів криптографічного захисту інформації (до яких, безумовно, відносяться засоби електронного цифрового підпису) без будь-яких застережень, вже дає достатньо підстав зробити вибір на користь застосування сертифікованих Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України засобів для здійснення ЕЦП.

Власне ризик фальсифікації електронного підпису навряд чи можна вважати значним. По-перше, більшість несертифікованих засобів ЕЦП використовуються вже досить давно й на практиці довели свою надійність; по-друге, навіть для того, щоб фальсифікувати підпис, який накладається за допомогою будь-якого недосконалого алгоритму, можуть знадобитися досить значні витрати. Між тим є менш затратні способи компрометації системи, ніж спроби прямого злому.

Перший ризик полягає в тому, що учасник системи документообігу може, посилаючись на те, що засоби ЕЦП не сертифіковані (а значить, не мають гарантій криптографічної стійкості), заявити, що його підпис було підроблено, й відкликати таким чином електронний документ із своїм підписом. Відзначимо, що для цього зовсім не потрібно, щоб підробка дійсно мала місце! Віртуальний, за великим рахунком, ризик фальсифікації ЕЦП породжує абсолютно реальний ризик відмови від ЕЦП.

З цією проблемою в системах документообігу, які використовують несертифіковані засоби, справляються єдиним чином: укладаючи додаткові угоди між учасниками документообігу, в яких сторони визнають даний засіб ЕЦП як достатній для забезпечення юридичної сили підписаних ЕЦП документів. Підписуючи таку угоду, учасники документообігу фактично визнають, що даний засіб ЕЦП забезпечує високий рівень криптостійкості, підпис не може бути підробленим, а тому вони добровільно відмовляються від можливості надати рекламацію у зв'язку з фальсифікацією підпису. Проблема в тому, що підписання такої угоди вимагає достатньої сміливості - адже рядовий учасник документообігу навряд чи здатен самостійно провести експертизу й пересвідчитися в істинності того твердження, під яким він підписується.

Другий ризик, що пов'язаний з можливістю відмовитися від авторства підписаного документу, ще більш серйозний. Справа в тому, що несертифікований засіб ЕЦП ніхто не перевіряв, по-перше, з точки зору якості виконання основної функції (й на цьому засновано описаний вище ризик), а по-друге, з точки зору відсутності бічної дії. Автор завіреного ЕЦП електронного документу може в принципі спробувати відмовитися від змісту цього документу, стверджуючи, що засіб ЕЦП неадекватно перетворив запропонований йому файл: не тільки поставив ЕЦП, але й "випадково" щось ще змінив у файлі в силу помилки у програмі. Швидше за все, це твердження хибне. Малоймовірно, щоб випробуваний на практиці засіб ЕЦП дійсно дав такий збій. Ризик неадекватного перетворення вхідного файлу - чисто віртуальний. У той же час, заснований на ньому ризик відмови від змісту файлу цілком реальний. Автор стверджує, що програма дала збій й на виході отримано правильно завірений ЕЦП файл, відмінний від того, який було передано програмі на вхід. Це неправда - але як це довести?

За використання сертифікованих засобів криптографічного захисту інформації гарантом якості виконання основної функції й відсутності бічної дії виступає Державна служба спеціального зв'язку та захисту інформації України. А при використанні несертифікованих засобів криптографічного захисту інформації таких гарантій не може дати ніхто.

 

7. Які послуги надає центр сертифікації ключів на платній основі?

Надання ЦСК послуг в сфері ЕЦП є предметом його підприємницької діяльності. Обслуговування фізичних та юридичних осіб здійснюється ЦСК на договірних основах. У загальному випадку, ЦСК стягується плата з користувача за формування сертифікату ключа, а також можливо за наступне обслуговування сертифікату (блокування, скасування, поновлення дії і т.д.). Формування ЕЦП на електронному документі, а також наступна перевірка ЕЦП користувачами не входить в рамки діяльності центру сертифікації ключів. Звичайно такий сервіс надається спеціальним програмним забезпеченням.

Що стосується вартості послуг по формуванню сертифікату, слід зазначити, що вона залежить від багатьох факторів, в тому числі, від періоду дії сертифікату, довжини ключа і т.д.

 

8. На яких умовах будуються відносини між центром сертифікації й користувачами?

Відносини між користувачами послуг ЕЦП й центром сертифікації будуються на договірній основі. Такий порядок визначено статтею 5 Закону України "Про електронний цифровий підпис". Однією з форм правовідносин для використання ЕЦП як юридично прирівняного до власноручного підпису є укладення договору-приєднання на одержання послуг сертифікації ключів. Такі послуги можуть бути надані тільки центром сертифікації ключів.

 

9. Чи можливо передавати особистий таємний ключ ЕЦП іншим особам на час відсутності власника ключа?

Відповідальність за зберігання особистого ключа у таємниці покладається на його власника. Передача ключа іншим особам є фактом компрометації ключа - в такому випадку його власник не може контролювати особистий ключ, хоча несе відповідальність за його застосування. Для випадків, коли власник ключа відсутній з поважної причини і виникає необхідність використання ЕЦП, слід використовувати ЕЦП іншої особи, яка має свій власний ключ та право підпису відповідного документу.

Також слід розуміти, що визначення Законом України "Про електронний цифровий підпис» терміну «підписувач» як особи, яка на законних підставах володіє особистим ключем та від свого імені або за дорученням особи, яку вона представляє, накладає електронний цифровий підпис під час створення електронного документа, не припускає передачі особистого ключа іншим особам. Поняття «за дорученням» слід розуміти як передачу повноважень, а не передачу власного підпису. Якщо провести аналогію до паперового документообігу, неможна доручити накладати власноручний підпис іншій особі. Наприклад, коли посадова особа перебуває у відпустці, вона доручає іншій особі накладати підпис на документах, але накладати підпис саме особи, яка заміщує.

Таким чином, для передачі повноважень накладання електронного цифрового підпису іншій особі, вона повинна мати свій особистий ключ електронного цифрового підпису, засвідчений в установленому порядку.

 

10. Що таке центр сертифікації ключів? Які права та обов’язки центру сертифікації ключів?

Для вирішення проблем, пов'язаних з управлінням ключами в системах електронного документообігу з необмеженою кількістю учасників інформаційного обміну, необхідно створити спеціальну інфраструктуру підтримки управління ключами, так звану інфраструктуру відкритих ключів.

В основі інфраструктури відкритих ключів (ІВК) лежить спеціальний суб'єкт – центр сертифікації ключів (ЦСК), основною метою якого є забезпечення безпечного обміну відкритими ключами між учасниками електронної взаємодії.

Відповідно до Закону України "Про електронний цифровий підпис", ЦСК має право:

- Надавати послуги ЕЦП й обслуговувати сертифікати ключів;

- Отримувати та перевіряти інформацію, необхідну для реєстрації користувача й формування сертифіката ключа безпосередньо у юридичної або фізичної особи або в їх представника.

Згідно Закону, ЦСК повинен:

- Вживати заходів для забезпечення безпеки інформації під час сертифікації ключів й зберігання сертифікатів ключів;

- Встановлювати під час формування сертифіката ключа, відповідності відкритого ключа й особистого ключа користувача;

- Забезпечувати захист персональних даних, отриманих від користувача, відповідно до законодавства;

- Своєчасно скасовувати, блокувати та поновлювати сертифікати ключів у випадках, передбачених Законом;

- Перевіряти законність звернень про скасування й блокування сертифікатів ключів та зберігати документи, на основі яких були скасовані або блоковані сертифікати ключів;

- Цілодобово приймати заявки про скасування, блокування та поновлення сертифікатів ключів;

- Вести електронні реєстри чинних, скасованих і блокованих сертифікатів ключів й документацію, перелік якої визначається контролюючим органом;

- Забезпечення цілодобового доступу користувачів до сертифікатів ключів та відповідних електронних реєстрів через загальнодоступні телекомунікаційні канали;

- Забезпечувати зберігання сформованих сертифікатів ключів протягом строку, передбаченого законодавством для зберігання відповідних документів на паперовій основі;

- Надавати консультації з питань, пов'язаних з цифровим підписом.

Центри сертифікації ключів (ЦСК) є єдиними суб'єктами системи ЕЦП, які надають послуги сертифікації відкритих ключів безпосередньо кінцевим користувачам.

З технічної точки зору, функції, які виконує ЦСК, умовно можливо розділити на основні (функції управління сертифікатами) та додаткові.

До основних функцій відносяться:

- Генерація власної ключової пари;

- Реєстрація (ідентифікація) кінцевого користувача;

- Сертифікація відкритих ключів користувачів (процес формування сертифікатів відкритих ключів для кінцевих користувачів);

- Публікація (розповсюдження) сертифікатів у відкритому каталозі для забезпечення доступу до них кінцевих користувачів;

- Забезпечення відкликання сертифікатів (блокування або скасування дії сертифікату за умови виникнення певних обставин).

- Забезпечення перевірки легітимності сертифікату (розповсюдження списків відкликаних сертифікатів);

- Архівація сертифікатів;

До додаткових функцій можна віднести:

- Генерація ключів користувачам;

- Забезпечення підтримки неможливості відмови від ЕЦП;

- Управління "історією" сертифікату;

- Надання послуги мітки часу (тимчасові штампи);

- Надання послуги перевірки статусу сертифіката;

- Нотаріальне засвідчення;

- Розбір конфліктних ситуацій.